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Application notamment aux cartes a puce et plus speciale- 
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PROCEDES D 1 AUTHENTIFI CATION D 1 ACCREDITATIONS OU DE 
MESSAGES A APPORT NUL DE CONNAISSANCE ET DE SIGNATURE 
DE MESSAGES 

DESCRIPTION 

La presente Invention a pour objet des procedes 
d'authentification d'accreditations ou de messages a apport nuL 
de connaissance et un procede de signature de messages. 

L 1 invention trouve de nombreuses applications dans La 
verification de t f authenticite de cartes bancaires dites M a 
puces" ou plus generalement de I'authenticite de tout support 
permettant a son detent eur de commander un acces, (a un Local, a 
un coffre, a une banque de donnees, a un systeme informatise, a 
une ligne telephonique, etc.). Elle s'applique egalement a la 
verification de I'authenticite de messages de toute nature, ces 
messages pouvant commander une ouverture ou une fermeture, 
I'enclenchement ou l»arr§t d'un systeme, La commande de la mise a 
feu d'un engin, la commande d'un satellite, le declenchement 
d'une alerte etc... Enfin, I'invention permet de signer des 
messages de telle maniere que leurs destinataires soient assures 
de leur provenance, et puissent a leur tour convaincre un tiers 
sur cette provenance. 

(.•invention s'appuye sur deux branches de La 
cryptographic qui sont respectivement la cryptographic a cle 
revelee (ou a cle publique) et Les procedures de verification a 
apport nul de connaissance. fiien que I'invention ne concerne pas 
un procede de chiffrement, il n'est pas inutile de rappeler en 
quoi consistent ces deux techniques. 

De tout temps le maintien du secret des communications 
a £t6 une preoccupation. Aujourd'hui que les systemes de 
telecommunications proliferent, il est devenu un probleme majeur. 
De ce fait, les techniques de chiffrement et de dechiff rement ont 
progresse considerablement ces dernieres annees. Ce progres a 
d'ailleurs ete encore accelere par I'avenement des ca Lculateurs, 
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qui ont permis d»4laborer des cryptosystfcmes a hautes 
performances. 

Dans un cryptosystfeme, un message M, dit message en 
clair, est transform* a I'aide d'une cle E, pour donner un 

5 message ECM) dit message chiffr*. A la cl* E correspond une cl* 
inverse D qui permet de retrouver le message en clair par une 
transformation inverse : D(E(H))=M. 

Dans les techniques traditionnelles les deux cUs E et 
D sont tenues secretes et ne sont connues que des seuls 

10 interlocuteurs. 

Cependant, un cryptosystfcme original a *t£ developp* 
ces dernifcres ann*es, dans lequel la cl6 de chiffrement n'est 
plus tenue secrfete mais est, au contraire, r£v£l6e. 
Paradoxalement, cette relation n'affaiblit en rien la s*curit4 

15 du systeme. En effet, il se trouve que le chiffrement utilise une 
fonction telle que la connaissance de la cU E ne permet pas, 
dans la pratique, de retrouver la cU D de d£chif f rement. On 
parle alors, de manifcre imag£e, d'une fonction "trappe" pour la 
fonction de chiffrement, fonction qui est particulifcrement 

20 difficile a inverser, sauf pour celui qui connaU la valeur de la 
trappe. 

Les principes g£n£raux de ces systfcmes ont 6t6 decrits 
dans Particle de W. DIFFIE et M. HELLMANN intitule "New 
Directions in Cryptography" public dans IEEE, Transactions ou 
25 Information Theory, vol. IT-22, pp 644-654, Nov. 1976. 

On peut aussi' consulter a ce sujet I'article de R. 
HELLMAN intitule "The Mathematics of Public-Key Cryptography" 
public dans Scientific American d'AoQt 1979, vol.241, n°2, pp 
130-139 ou sa traduction franpaise dans l f 4dition de "Pour la 
30 Science" sous le titre "Les Rathematiques de la Cryptographie a 
clef rev6l*e", Octobre 1979, vol. n°24, pp 114-123. 

Les principes th£oriques de la cryptographie a cU 
r£v£Ue ont pu §tre mis en application de manifcre 
particulifcrement efficace dans un systeme dit RSA (des initiales 
35 de ses inventeurs Ronald RIVEST - Adi SHAMIR et Leonard ADLEMAN) . 
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Ce systfeme est ctecrit dans I'article de Martin GARDNER intituU 
"A new kind of cipher that would take millions of year to break" 
pub li 6 dans Scientific American, AoOt 1977, pp. 120-121. Pans le 
systfcme RSA la fonction trappe est la factorisation d'un nombre 
en *l*ments premiers. On sait que l'op£ration de factorisation 
est Mune des plus difficiles de l'arithm$tique. Par exemple pour 
trouver, a la main, les facteurs premiers d'un nombre modeste a 5 
chiffres comme 29 083, il faut quelques minutes. Ces nombres sont 
127 et 229. Mais I'obtention du produit de 127 par 229 ne prend 
que quelques secondes. L'asymStrie d'une telle operation est done 
flagrante. Nature I lement, le recours a un ordinateur accSUre la 
factorisation mais il demeure que, pour factoriser un nombre de 
deux cents chiffres, m£me en mettant ensemble les ordinateurs les 
plus puissants ordinateurs. 

En pratique done, on ne sait pas factoriser un tr£s 
grand nombre. 

Ces propri*t*s sont explores dans le systdme RSA de 
la manifcre suivante. On choisit deux nombres premiers distincts, 
soit a et b, et on en forme le produit, soit N=a.b. On choisit 
4galement un entier p, qui est premier avec le plus petit commun 
multiple de <a-1> et <b-1>. Pour chiffrer un message, 
pr^alablement mis sous forme numerique H, M £tant compris entre 0 
et N-1, on calcule la puissance pifcme de K dans I'anneau des 
entiers modulo N, soit OM P mod N. (On rappelle que la valeur 
d'un entier x modulo un entier y est £gale au reste de la 
division de x par y ; ainsj, 27 modulo 11 est 6gal a 5, car 27 
divis6 par 11 donne 5 comme reste). La fonction "elever a la 
puissance p modulo N" d^finit alors une permutation des entiers 
de 0 a N-1. 

Pour dechiffrer un message tet que C il faut extraire 
la racine pi6me du message chiffr* C dans I'anneau des entiers 
moduLo N. On montre que cette operation revient a Clever le 
nombre C a la puissance d, d #tant I'inverse de I'exposant p 
modulo le plus petit commun multiple des nombres (a-1) et <b-1>. 
Si I 'on ne connait pas les facteurs premiers a et b, la 
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determination de d est impossible et avec elle, PopSration de 
d4chiff rement. 

Par exemple, en choisissant a=47 et b=59, on obtient 
N=47. 59=2773. On peut prendre p=17. La cU de codage est done 
5 d£finie par les deux nombres 2773 et 17 (naturellement, dans la 
pratique, les nombres utilises sont beaucoup plus grands que dans 
cet exemple). 

Le codage d'un mot M se prSsentant sous forme du nombre 
920 s'effectue par ^operation suivante : 
10 C = 920 17 mod 2773 

soit C = 948 mod 2773. 

Inversement / pour d*chiffrer le nombre 948, on 
utilisera un exposant d inverse de 17 modulo 1334 qui est le ppcm 
de 46 et 58. Cet exposant d est 157 car 157.17=2669 soit 1 modulo 
15 1334. Mchiffrer 948 revient done & calculer 948 157 mod 2773 soit 
920, ce qui est bien le message initial. 

Ainsi, dans le systfcme RSA, les nombres N et p peuvent 
ils §tre publics (on parle alors de la "puissance publique p"), 
mais les nombres a et b doivent rester seerets. 
20 Naturellement, il est toujours possible d'utiliser plus 

de deux facteurs premiers pour constituer le nombre N. 

Le syst£me RSA est d£crit dans le brevet des Etats-Unis 
d'AmSrique n°4,405,829 d6livr£ le 20 Septembre 1983. 

Un tel systfcme peut non seulement servir £ chiffrer 
25 mais aussi & signer un message. 

Dans le contexte de la signature de messages une entity 
censSe £mettre des messages M, entity appel^e signataire, est 
r4put£e travailler avec une cl6 publique (N, p). Cette entity, 
pour signer ses messages avant Emission, y ajoute une redondance 
30 pour obtenir un £Ument de I'anneau des entiers modulo N, puis 
£Uve cet 6Ument & la puissance d (inverse de p) modulo N. 
L'entitS en question, d£tenant les paramfctres secrets de la cU 
publique, e'est-i-dire les deux facteurs premiers a et b, connait 
d. Le message sign* est done S= ^Red(H)^ mod N. 
35 Pour verifier la signature, le destinataire du message 
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utilise la cie publique (N, p) attachee & I'entite emettrice et 
p 

calcule S nod N, ce qui, par hypothese redonne l f eiement codant 
le message M avec sa redondance. En retrouvant la redondance le 
destinataire en conclut ainsi que le message n'a pu Itre envoy* 
que par I'entite qui pretend I'avoir fait, puisque seule, celle^ 
ci, *tait capable de traiter le message de cette manifere. 

Nature I lement, les deux operations de chiffrement et de 
signature peuvent se combiner, Dans ce cas, l'6metteur commence 
par signer son message en utilisant sa cie secrete ; puis il le 
chiffre en utilisant la cie publique de son correspondent. A la 
reception, le correspondant dechiffre le message & I'aide de sa 
cie secrete, puis authentifie le message en utilisant la cie 
publique de l'6metteur. 

Ces techniques de cryptographie conduisent ainsi & des 
methodes d'authentif ication <d*un support, d f un message, etc.). 
Pour exposer plus en detail cet aspect, qui est au coeur de 
I'invention, on prendra comme exemple I'authentif ication des 
cartes bancaires dites "a puce", sans que cela const itue 
naturellement en quoi que ce soit une limitation de la portee de 
V invention. Le procede dicrit ci-apres est utilise dans les 
cartes bancaires £ puce emises aujourd'hui en France et en 
Norvege, la generalisation des puces dans les cartes bancaires 
est en cours dans ces deux pays. 

Une carte bancaire a puce possfcde une identite, qui est 
constitute par un enchafnement d f informations telles que le 
num£ro de s6rie de la puce, le numero du compte bancaire, une 
p£riode de validity et un code d f usage. La carte peut donner, sur 
demande, ces informations dMdentite, qui se presentent sous 
forme d'une suite de bits formant un mot I. 

A I'aide de regies de redondance, on peut constituer un 
nombre J deux fois plus long que I qu'on notera par la suite 
Red(I)=J. Par exemple, si le nombre I s'ecrit sous forme de 
quartets, chaque quartet peut §tre complete par un quartet de 
redondance de maniere k former autant d 1 octets de type a codage 
de HAMMING. Le nombre J est appete souvent l f identite "ombragee" 
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(I'ombre Stent constitute en quelque sorte par la redondance qui 
accompagne l* identity). 

L'Organisation Internationale de Normalisation (ISO) a 
precise ces questions dans la note IS0/TC97/SC20/N207 intituUe 
5 "Digital Signature with Shadow" devenue avant projet de norme 
DP9796. 

I^autorite habilitee a deiivrer de telles cartes, en 
^occurrence la banque, choisit un systeme a cle publique (N, p). 
Elle publie les nombres N et p mais garde secrete la 

10 factorisation de N. LMdentite ombragee J de chaque carte est 
alors consider comme un fitment de l f anneau des entiers modulo 
N. La banque peut en extraire la racine p ifcme dans cet anneau 
Cce qui, comme expose plus haut, necessite la connaissance'des 
facteurs premiers de N, ce qui est le cas). Ce nombre, note par 

15 la suite A, est en quelle que sorte I 1 identity de la carte signee 
par la banque. On I'appelle "accreditation". On a done par 
definition A=J 1/p mod N. 

Authentifier une accreditation revient alors a lire 
I'identite de la carte, soit sous la forme simple I, soit sous la 

20 forme ombragee J, puis a lire ^accreditation A dans la carte, a 
eiever celle-ci a la puissance p dans l*anneau des entiers modulo 
N (ce qui est possible puisque les parametres N et p sont connus) 
et a comparer enfin le resultat, soit A P mod N, a J. Si A P mod N 
est egal a J alors I'accreditation A est authentique. 

25 si cette methode permet de detecter des fausses cartes 

dont les identites auraient ete eiaborees de maniere fantaisiste, 
elle presente neanmoins un inconvenient qui est celui de reveler 
^accreditation des cartes authentiques. Un verificateur peu 
scrupuleux pourrait done reproduire des cartes identiques a celle 

30 quMl vient de verifier (cartes que I'on pourrait appeler des 
"clones") en reproduisant ^accreditation qu'il a lue dans la 
carte authentique. 

Or, I'authentif ication d'une accreditation ne requiert 
pas, en toute rigueur, la communication de celle-ci au 

35 verificateur, mais seulement I'etablissement d'une conviction que 



2620248 



La carte dispose d"une accreditation authentique. Le probieme est 
done finalement de demontrer que la carte detient une 
accreditation authentique, sans reveler celle-ci. 

Ce probieme, qui semble insoluble h premiere vue, peut 

5 cependant §tre resolu par une procedure dite de preuve par apport 
nul de connaissance ("zero-knowledge proof"). Dans une telle 
procedure, I'entite qui tente d'apporter la preuve Cet que l»on 
appellera par La suite le "veHfie") et I'entite qui attend cette 
preuve (et qu'on appeLLera le "verificateur") adoptent un 

10 comportement interactif et probabiliste. 

Cette technique b ete decrite par Shafi GOLDWASSER, 
Silvio MICALI et Charles RACKOFF dans leur communication au "17th 
ACM Symposium on Theory of Computing" qui s'est tenu en Mai 1985,. 
communication intituiee "The Knowledge Complexity of Interactive 

15 Proof Systems" et publiee dans Les Comptes Rendus pp. 291-304. Les 
premiers exemples ont ete trouv£s en theorie des graphes. 

Adi SHAMIR a pense Le premier & utiliser ce proc£d£ en 
theorie des nombres et on pourrait l f appliquer aux cartes d puces 
de la maniere suivante. Ce proc6d£, que I'on appellera par La 

20 suite procede S, est le suivant. 

Au debut de la transaction d f authentication, la carte 
proclame son identite I. Les regies de redondance connues de 
tous, permettent de deduire J, deux fois plus long que I, qui 
correspond a IMdentite ombragee. La carte et le verificateur 

25 connaissent tous deux Les nombres N et p pubLies par I'emetteur 
de cartes, mais seuL ce dernier dispose de La factorisation du 
nombre N, qui est L'information de trappe utilisee pour calculer 
les accreditations- 
La transaction d'authentif ication se poursuit en 

30 repetant Le traitement suivant : 

- la carte tire au hasard un element r de L'anneau des 
entiers modulo N, en calcule la puissance p ieme (r P mod N) dans 
L'anneau, et transmet cette puissance au verificateur en guise de 
titre T pour L'iteration ; 

35 - le verificateur tire au hasard un bit d (0 ou 1) (ou 
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si I'on veut, tire d pile ou face) pour demander d la carte en 
guise de temoin t : pour pile I'tltaent r, et pour face le 
produit de I'tltaent r par L'accredition dans l»anneau (r.A mod 
N) ; autrement dit, dans I'incertitude du tirage le v6rifie doit 
5 tenir disponible r et r.A mod N ce qui implique la connaissance 
de A ; 

• le verificateur eUve le temoin f * La puissance p 

modulo N pour retrouver : pour pile, le test T, et pour face le 

produit dans l f anneau du titre T par I'identite ombragee J. 

10 Ainsi, d'une part, il faut disposer de ^accreditation 

A pour posseder sioultanement les deux valeurs possibles du 

temoin t, soit r et rA. D'autre part, Le verifie ne peut deduire 

de cette transaction La valeur A de ^accreditation car, w§me 

s'il demande au verifie de Lui fournir rA, il ne connatt pas r, 

15 qui a ete tire au hasard par le verifie (le verificateur connaU 
P ■ 

bien r , fourni comme titre par le verifie, mais il est incapable 
d'en extraire la racine p i£me modulo N, puisqu'il ne conna5t pas 
la factorisation de N). 

Le verifie qui ne serait pas detenteur d'une 

20 accreditation authentique pourrait bluffer en tentant de deviner 
le tirage du v£rif icateur. S'il parie sur "0" ("pile") il estiroe 
que le verificateur eievera le titre & la puissance p modulo N et 
que le verificateur comparera le resultat obtenu au titre T. Pour 
convaincre le verificateur, le verifie devra fournir comme titre 

25 T le temoin eieve a la puissance p. Si le bluffeur parie au 
contraire sur "1" ("face") il estime que le verificateur eievera 
le titre & la puissance p et multipliera ensuite le resultat 
obtenu par J. II lui faut done, pour convaincre, transmettre 
comme titre T, le temoin eieve k la puissance p multiplie par J. 

30 Autrement dit, le verifie a une chance sur deux de 

donner une bonne reponse s'il renverse la chronologie des 
evenements, c f est-a-dire s'il determine non pas d'abord le titre 
T puis le temoin t, mais s'il parie sur le tirage du verificateur 
et s f il constitue Le titre a posteriori h I 'aide d'un temoin tire 

35 au hasard. 
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Dans ce processus probabiliste, les chances du verifie 
de deviner la bonne r£ponse sont de une sur deux & chaque 
traitement, de sorte qu'en r6j>6tant ce traitement k fois, Les 
chances du bluffeur tombent a 1/2 . Le facteur de securite de ce 

5 procede d' authentication est done de 2 k . En pratique, k est de 
l f ordre de 16 a 24. 

Dans un tel procede le nombre p est petit, par exemple 
3. On peut aussi utiliser 2, nais dans ce cas certaines 
precautions doivent §tre prises dans le choix des facteurs 

10 premiers du nombre N pour que la fonction "Clever au carre modulo 
N" soit une permutation sur les residus quadratiques de I'anneau 
des entiers modulo N. Les nombres a et b doivent Stre des entiers 
de la forme 4x+3 ; on rappelle que les residus quadratiques sont 
des elements qui sont des carrts dans I'anneau et I'identite 

15 ombragee J doit pouvoir §tre modifiee en un residu quadratique 

representatif avant de calculer ^accreditation. Cette solution 

est decrite dans le document deja cite IS0/TC97/SC20/N207. 

0 f autres solutions existent cependant. 

L'entier N, comme dans les cartes bancaires 

320 

20 aujourd'hui, peut fctre de la forme N=K+2 ou K est un entier de 
240 bits publie et connu de tous les terminaux. Seul I'emetteur 
de cartes dispose de la factorisation de N. II est tout de mSme 
conseilie de prendre des nombres composes plus grand. 

L'identite I, comme dans les cartes bancaires 

25 aujourd'hui, peut Itre un motif de 160 bits, obtenu par le 
chafnage d'un num£ro de s£rie de la puce de 44 bits, d'un numero 
de compte bancaire de 76 bits, d'un code d'usage de 8 bits et 
d'une p6riode de validity de 32 bits. L'identite ombragee 
presente alors 320 bits. L'accreditation est aLors la racine 

30 cubique de ce mot, modulo N. C'est un nombre de 320 bits. 

Un perfectionnement de cette technique consiste a 
utiliser non pas ^accreditation elle-m§me A (A P mod N=J) mais son 
inverse, note B. On a alors B P J mod N=1 ce qui permet de 
simplifier la comparaison du titre et du temoin. En effet, il 

35 suffit alors de transmettre un temoin egal a r(dB-d+1) (qui est 



2620248 



tgal soit 4 r si d=0 soit & rB si d=1 et de calculer t (dJ-d+1) 
mod N pour trouver le titre T. Ce dernier peut alors n f #tre 
transmis que partiellement, par exernple sous forme d'une centaine 
de ses bits ou encore mieux aprts une compression par une 

5 fonction & sens unique. 

On rappetle qu'une fonction de compression fait 
correspondre & un ensemble de n Elements un ensemble de m autres 
elements, m etant inferieur ft n et tel quMl sont pratiquement 
impossible de localiser deux elements ayant mime image. 

10 La figure 1 annexee 6 la description illustre ce 

procede. Les fitches allant de gauche & droite represented une 
transmission du verifie vers le vSrificateur (identity I, titre 
T, temoin t) et les fitches allant de droite h gauche une 
transmission dans le sens inverse (bit d tire au hasard). Un 

15 tirage au hasard est represent* par un cercle associe & un point 
d'interrogation. Le signe € signif ie "appartient 6" et les 
nombres entre accolades designent l f ensemble des entiers compris 
entre les deux bornes indiquees, bornes comprises. La comparaison 
finale decidant de I'authenticite de ^accreditation est 

20 schtmatis^e par un signe egal surmonte d'un point 
dMnterrogation. Le tirete marque un ensemble d'optrations 
effectutes k fois (iteration). 

II a ete propose r6cemment un procede encore plus 
perfectionne, qui utilise des accreditations multiples. Ce 

25 procede a ete decrit dans la communication de Amos FIAT et Adi 
SHAKIR, publite dans le Compte Rendu de CRYPTO' 86, Santa 
Barbara, CA, USA, August 1986, communication intitulte : "How to 
Prove Yourself : Practical Solutions to Identification and 
Signature Problems", Springer Verlag, lecture Notes in Computer 

30 Science, N°263, pp. 186-194. 

En notant dans la carte plusieurs accreditations, on 
augmente I'efficacite du traitement, et on reduit le nombre 
d' iterations necessaires pour atteindre un niveau donne de 
securite vis-a-vis de la chance laissee au bluffeur. Dans cette 

35 methode de diversification, on produit n identites diversifiees 
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11, In qui, complies par Leurs ombres, donnent n identites 

diversifiees ombragees J1, Jn. La carte contient tes n 

accreditations inverses B1, Bn qui verifient les relations 
Ji.Bi P mod N=1. 

Dans ce procede, que Pon notera FS, chaque traitement 
ou iteration devient alors le suivant (en prenant 2 pour exposant 
public) : 

La carte tire au hasard un element r dans I'anneau 
des entiers modulo N, puis transmet au verificateur 128 bits du 
carre de cet element en guide de titre T ; 

- le verificateur tire au hasard un mot de n bits soit 
b1, bn, qu'il transmet h la carte ; 

- la carte calcule alors le produit de ^element r par 
les accreditations inverses designees par les bits a "1" dans le 
mots de n bits b1, bn. Et la carte transmet en guise de 
temoin la valeur t ainsi obtenue : 

t=r.(b1.B1-b1+1) (bn.Bn-bn+1) mod N 

- le verificateur teste ce temoin t en I'elevant au 
carre dans I'anneau, puis en multipliant ce carre par les 
identites ombragees diversifiees designees par les bits k "V du 
mot de n bits, 

p 

soit : t .Cb1.J1-b1+1) (bn.Jn-bn+1) mod N 

L f authenticity est prouvee si l»on retrouve les bits 
publies du titre T. 

N'importe qui pourrait tirer au hasard un temoin t, 
puis, dans I'anneau, elever au carre ce titre et multiplier par 
une selection d 1 identites diversifiees pour constituer apres coup 
un titre T. En effet, en donnant ce titre au debut du traitement, 
si la question posee est bien la selection escomptee, alors le 
temoin t est une reponse acceptable qui authentifie la carte. 

II y a done bien une stategie gagnante pour le devin 
qui connait h Pavance le tirage du verificateur. 

Pour passer avec succes une iteration, le bluffeur 
doit, cette fois, deviner un mot de n bits et non plus un seul 
bit comme dans le procede GMR. Si les 2° valeurs sont 
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6quiprobabl.es, le produit de la multiplicite des accreditations 

(n) par le nombre des iterations (k) reduit exponential Lement les 

chances laissees au bluffeur. Le facteur de securite de la 

k n 

transaction d'authentif ication est ators 2 * . 

5 A chaque iteration, le verifie transmet par exemple 128 

bits (par exemple un quart des 512 bits) et un element de 
Panneau, et le verificateur transmet n bits. A chaque iteration, 
le verificateur et la carte calculent un carre et font un nombre 
de multiplications £gal au nombre de bits a M 1 M dans le not de n 

10 bits (poids de HAMMING). 

Comme autre compromis entre efficacite de IHteration 
et nombre maximum de multiplications a effectuer durant 
l" iteration on peut limiter le nombre de bits a 1 dans le mot de 
n bits. 

15 On pourra consulter a propos de cette technique, le 

compte rendu de la communication de Amos FIAT et Adi SHAMIR au 

"5e Congrfes Mondial de la Protection et de la securite 

. Informatique et des Communications" qui s'est tenu a Paris les 4- 

6 Mars 1987 sous le titre "Unforgeable Proofs of Identity". 

20 La figure 2 annexde i I lustre schematiquement ce procede 

FS, avec les m§mes conventions que pour la figure 1. 

Ces procedes d'authentif ication d'accreditation peuvent 

se transposer aisement a I'authentif ication d'un message emis par 

une' entite censee itre accreditee. Dans ce cas / le titre T 

p 

25 transmis par le verifie n'est plus forme uniquement par r mod N, 

comme dans le cas precedent, mais aussi par le message m a 

authentifier. Plus precis6ment, le resultat par une fonction de 

p 

compression, notee f, dont les arguments sont m et r mod N. 

Les figures 3 et A schematisent ces procedes dans le 
30 cas des techniques S et FS. 

Enfin, ces techniques peuvent egalement servir a signer 
un message. La fonction de compression joue alors le r6le assign£ 
au tirage du verificateur. Plus precisement, dans le procede de 
type S, le signataire tire k elements r dans I'anneau des entiers 
35 modulo N, soit r1, r2, rk, qui vont jouer le rfile des 
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differents r tires au cours des k iterations. Le signataire eifcve 
ccs entiers au carre mod N et catcule la fonction de compression 
f(m, r mod h, ... rk mod N) ce qui fournit un nombre D ayant 
pour bits d1, d2, dk. Chaque bit di de ce nombre joue le 

5 r6le que jouait le bit tire au hasard dans le procede 
d'authentification d^ccrWitation decrit plus haut. Le 
signataire forme alors k titres ti=riB dl mod N, avec 1=1,2... k. 
Le message signe est alors constitue par un multiplet forme par 
m, I, d1, dk, t1, tk. 

10 Pour verifier un tel message signe on eieve au carre 

les titres ti modulo N et on multiplie chaque carre par J dl 

modulo N. On calcule ensuite la fonction de compression f Cm. 
«.- z dl , M 2 dk 

ti J mod N, tk J mod N) et l f on compare le resultat 
obtenu avec le nombre D, soit avec les bits d1, d2, dk. 

15 &ans ^application h la signature de messages, le 

nombre k est plus grand que dans l f authentication. II est de 
I'ordre de 60 k 80. En effet, la verification ne s'effectue plus 
en temps reel et le fraudeur a done tout son temps pour ^laborer 
une fausse signature. 

20 Les figures 5 et 6 schematisent ce procede dans le cas 

des techniques S et FS. Si toutes ces techniques de I'art 
ante>ieur conviennent bien en theorie, elles pr^sentent cependant 
des inconv6nients du point de vue pratique. En particulier, la 
methode FS, avec la multiplicity de ses accreditations, consomme 

25 un espace memoire important. Par ailleurs, la n^cessite 
d'effectuer une repetition des traitements aLlonge la duree des 
^changes. Enfin, la multiplicity des temoins allonge les 
informations a ajouter h un message pour le signer. 

La pr£sente invention a justement pour but de rem£dier 

30 a cet inconvenient. A cette fin elle pr^conise une technique 
utilisant une seule accreditation (et non plus des accreditations 
multiples) et un seul traitement (et non plus une repetition de 
traitements). 

De facon plus precise, la pr£sente invention a d'abord 
35 pour objets un procede d'authentification d'une accreditation et 
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un procede d'authentif ication d'un message, proems qui mettent 
tous deux en oeuvre, d'une part, I'eiaboration d'une 
accreditation basee sur le systfcme k cie publique et, d'autre 
part, une preuve 6 apport nut de connaissance ; 
5 a) pour ce qui est de ^operation d'eiaboration de 

^accreditation, elle comprend les operations connues 
suivantes : 

- une autorite habilitee deiivrer des accreditations 
choisit deux nombres premiers, forme Le produit (N) de ces 

10 deux nombres, tient secrets ces nombres qui constituent aLors 

les facteurs premiers de N, choisit un entier p et publie N et 

p; 

- pour chaque detenteur d'une accreditation, une 
identite numerique I est constituee, puis compietee par 

15 redondance pour former un mot J appele identite ombragee, 

- une accreditation A est eiaboree par I'autorite en 
prenant la racine pieme de I'identite ombragee dans I'anneau 
des entiers modulo N, <A P mod N=J), 

- dans un support approprie contenant une memoire, 

20 I'autorite charge I'inverse modulo N de ^accreditation A, 

soit un nombre 8 appele accreditation inverse (6° J mod N=1), 
ce nombre B constituant ^accreditation qu'il s'agit 
d'authentifier ; 

b) pour ce qui est de I'authentif ication de ^accreditation ainsi 
25 eiaboree, cette operation consiste, de maniere elle aussi 

connue, en un processus numerique interactif et probabiliste 
du type d apport nul de connaissance et s'etablissant entre un 
support contenant une accreditation, support appeU "le 
verifie" et un organe d'authentif ication appele "le 
30 verificateur", ce processus comprenant au moins un traitement 

numerique constitue par les operations connues suivantes : 

- le verifie tire d'abord au hasard un entier r 
appartenant & I'anneau des entiers modulo N, 

- le v6rifie eieve cet entier r k la puissance p modulo 
35 N, le resultat etant appele titre T, 
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- le verifie deiivre alors au moins une partie des bits 
du titre T, 

- le verificateur tire ensuite au hasard un nombre D 

et demande au verifie d'effectuer certaines operations sur r 
et sur ^accreditation inverse B, ces operations etant liees 
au nombre D tire au hasard par le verificateur et effectuees 
dans I'anneau des entiers modulo N, 

• le verifie deiivre au verificateur un nombre t, 
appeie temoin, resultat de ces operations, 

- le verificateur effectue & son tour des operations 
portant sur le temoin t deiivre par le verifie et sur 
I'identite ombragee J du verifie, operations liees elles aussi 
au nombre D tire au hasard par le verificateur et effectuees 
dans I'anneau des entiers modulo N, 

- le verificateur compare le resultat ainsi obtenu 
avec les bits du titre T que le verifie a deiivre en debut de 
processus de verification, et admet I'authenticite de 
l f accreditation s f il retrouve ces bits. 

Le procede d'authentif ication d'accreditation selon 
I'invention est caracterise par le fait que : 
a> lors de I'eiaboration de ^accreditation (B) le nombre p 

servant k extraire la racine p ieme de I'identite ombragee <J) 
est choisi grand et comprend au moins une dizaine de bits, 
b) pour I'authentification de ^accreditation le processus ne 1 
comprend qu'un seul traitement interactif et probabiliste (et 
non une repetition d'un tel traitement), ce traitement unique 
consistant dans les operations suivantes : 

- le nombre que le verificateur tire au hasard est un 
entier D compris entre 0 et p-1 (bornes incluses), 

- I'operation que Le verifie effectue pour deiivrer un 
temoin t est le produit, dans I'anneau des entiers modulo N, 
de I'eiement r qu'il a lui m§me tire au hasard, par la 
puissance Dieme de I 'accreditation inverse B, le titre etant 
alors t=r.B mod N, 

- les operations qu' effectue le verificateur sont le 
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produit, dans l*anneau des entiers modulo N, de la puissance p 

ieme du t£moin t par la puissance D ieme de I'identite 
P D 

ombragee J, soit t J mod N, 

- I'operation de comparaison effectuee par le 

5 verificateur pbrte alors sur les bits du titre T delivres par 

le ve>ifie et sur les bits obtenus par ^operation pr^cedente, 
^authenticity de l f accr*ditation etant acquise en un seul 
traitement des lors que tous les bits du titre delivr* par le 
verifie sont retrouves par le verificateur dans t P J° mod N. 
1 0 Pour ce qui est du procede d'authentif ication de 

message, le procede selon ^invention est caracterise par le fait 
que : 

a) lors de I'eiaboration de ^accreditation du donneur d'ordre, 
le nombre p servant & extraire la racine p ifeme de l" identity 

15 ombragee est choisi grand et comprend au moins une dizaine de 

bits, 

b) pour I'authentification du message, le processus ne comprend 
qu'un seul traitement interactif et probabiliste (et non une 
repetition d'un tel traitement), ce traitement unique 

20 consistent dans les operations suivantes : 

• le nombre que le verificateur tire au hasard est un 
entier D compris entre 0 et p-1 (bornes incluses), 

- I'opSration que le verifie effectue pour deiivrer le 
temoin t est le produit, dans I'anneau des entiers modulo N, 

25 de I'element r qu'il a lui m§me tire, par la puissance Dieme 

de ^accreditation inverse B, le temoin etant alors r.B° mod 
N, 

- les operations qu'effectue le verificateur sont le 
produit, dans I'anneau des entiers modulo N, de la puissance p 

30 ieme du temoin t, par la puissance D ieme de I'identite 

ombragee J, 

- le verificateur forme la fonction de compression du 
message et du resultat des operations pr£c£dentes soit f(m, t P 
J mod N), 

35 - la comparaison que le verificateur effectue porte 
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alors sur La fonction de compression qu'il a obtenue et sur te 
titre T que le verifie lui a deiivre en debut de processus de . 
verification, ^authenticity du message etant acquise en un 
seul traitement dfes tors que, ft La fin de ce traitement, U y 
a correspondence entre tous Les bits de La fonction de 
compression obtenue par Le v^rificateur et Les bits du titre 
deiivres par le verifie. 

L 1 invention a enfin pour objet un procede de signature 
de message. Dans ce cas ^accreditation du signataire est 
eiaboree selon Le procede connu d cie pubLique decrit plus haut 
et La signature consiste en un traitement numerique probabiListe 
connu comprenant Les operations suivantes : 

- Le signataire tire au hasards au moins un entier r 
appartenant d L'anneau des entiet* modulo N, 

- le signataire eUve cet €ni::r r £ la puissance p 
modulo N, 

- Le signataire calcuLe une fonction de compression f 
en prenant comme arguments Le message m k signer et La 
puissance r mod N obtenue, 

- Le signataire forme au moins un temoin t en 
effectuant certaines operations sur r et sur l f accreditation 
inverse B, ces operations etant Liees au nombre D tire au 
hasard et etant effectuees dans I'anneau des entiers modulo N, 

- Le signataire transmet le message m, son identite I, 
le mot D, le ou les temoins t, I'ensemble constituant un 
message signe. 

Le procede de signature de message selon L' invent ion 
est caracterise par le fait que : 

a) lors de L'eiaboration de ^accreditation du signataire le 
nombre p servant a extraire la racine p ieme de l 1 identite 
ombragee est choisi grand et comprend plusieurs dizaines de 
bits, 

b) pour L'operation de signature du message : 

- le signataire ne tire au hasard qu'un seul entier r 
appartenant a I'anneau des entiers modulo N, 
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- la fonction de compression a pour arguments Le 
message m et La puissance p i£me de r, ce qui fournit un 
nombre 0, 

- Le titre unique produit par Le signataire est Le 

5 produit, dans l»anneau des entiers wodulo N, de L'entier r par 

la puissance D ieme de ^accreditation inverse B, 

- Le signataire fournit, avec Le message in, son 
identity I, Le mot D et le titre t. 

Dans les deux premiers procedes, Le nombre p comprend 
10 eu moins 10 bits et de preference entre 16 et 24 bits. 

Dans le procede de signature le nombre p est plus grand 
et comprend plusieurs dizaines de bits, par exemple de 60 a 80 
bits. 

La vateur de p est en effet le facteur de securite d'un 
15 traitement eiementaire. Si p est convenable pour Le but recherche 
alors qu'on ne dispose que d'une seule accreditation profonde, on 
peut se contenter d'un seul traitement. 

De toute fa^on l' invention sera mieux comprise a La 
Lumiere de La description qui va suivre, qui se revere a des 
20 dessins annexes. Ces dessins comprennent : 

-Les figures 1 a 6, deja decrites, qui illustrent les 
procedes S et FS de L'art anterieur ; 

- La figure 7 il Lust re Le procede d'authentif ication 
d'une accreditation selon I'invention ; 

25 - la figure 8 illustre Le procede d'authentif ication de 

message selon l' invent ion ; 

- La figure 9 illustre le procede de signature de 
message selon I'invention ; 

- La figure 10 montre schdmatiquement un ensemble 
30 permettant de tnettre en oeuvre les procedes de I'invention. 

Les conventions utilises dans les figures 7 a 9 sont 
les m§mes que celles des figures 1 a 6. Dans tous les cas 
I'accreditation est obtenue par I'uti lisation d'un nombre p qui 
est grand. Les inventeurs qualifient cette accreditation de 
35 "profonde" par opposition aux accreditations habituelles 
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utilises dans ce domaine pour lesquelles p £tait de I'ordre de 2 
ou 3 et qui sont, en quelque sorte "superf icielles". 

Dans te cas des cartes a puce on a done, dans le cas de 
I'invention, Le traitement suivant : 
5 - la carte tire au hasard un £Ument r <1<r<N-1) dans 

I'anneau des entiers modulo N, et donne en guise de titre T 128 
bits de la puissance publique de cet 6l6ment <r P mod N) ; 

- le ve>ificateur tire au hasard un exposant D de 0 a 
p-1 et le transmet a la carte ; 

10 - la carte calcule le tSmoin t qui est le produit (dans 

I'anneau) de l f element r par la puissance D ifcme de 
^accreditation B (t=r.B° mod N) ; 

- le v^rificateur calcule dans I'anneau le produit de 
la puissance p i&me du t£moin t par la puissance D ifcme de 

15 l'identit§ ombrag£e J, soit t P .J D mod N. 

La preuve est accepts si tous les bits publics du 
titre T sont ainsi retrouv^s. 

N'importe qui ayant devin£ la question du v^rificateur 
(lexposant D) peut tirer au hasard un t£moin t, puis faire a 

20 I'avance les calculs du verif icateur, e'est-a-dire faire le 
produit dans l f anneau du t£moin t a l f exposant p par I'identite 
ombragee J a I'exposant D. En donnant le titre T au d6but de 
l'it£ration, si la question posee est bien D, alors le temoin t 
est une r£ponse acceptable. 

25 Ce raisonnement indiquant une strategie gagnante pour 

le devin montre que I'on ne sait pas distinguer des donnees 
provenant de I'enregistrement d'une transaction r£ussie et des 
donnees provenant d'une mascarade construite en inversant la 
chronologie de l'it£ration, e'est-a-dire en choisissant les 

30 exposants avant les titres. Le v£rif icateur recueille des 
informations impossibles a distinguer de eel Les qu'il aurait pu 
produire tout seul, sans interaction avec le v6rifi£, ce qui 
montre que l'accr£ditation reste bien secrete dans la carte. 

Pour passer avec succes un traitement 

35 d' authentication, le bluff eur doit deviner un exposant D. Si 
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les p valcurs de D sont equiprobables, la chance laissee au 
bluffcur est de 1/p. Le facteur de securite est done p. 

Dans un tet traitement le verifie transmet une centaine 
de bits et un element de I'anneau ; le verificateur transmet un 
exposant CD). Pour mener h bien un traitement le verifie calcule 
d'abord la puissance publique de I'eiement r tire au hasard, puis 
le produit de cet element r par la puissance D ieme de 
I'accreditation B. Le verificateur fait un peu moins de calcul 
pour retrouver le titre T car il peut combiner intelligemment les 
calctls de puissance : la puissance Dieme de I'identite ombragee 
J et la puissance pi erne du temoin t. 

Si I'exposant p vaut 2 16 , alors I'exposant D est un 
nombre de 16 bits. Ainsi en un seul traitement, avec un facteur 
de securite de 2 , soit 65536, le verifie calcule dans I'anneau 
16 carres, puis 16 carres et une moyenne de 8 multiplications, Le 
verificateur ne calcule que 16 carres et procede en moyenne d 8 
multiplications. 

Le procede d'authentif ication de message est illustre 
sur la figure 8 avec les m§mes conventions, la difference avec la 
figure 7 consistant uniquement dans la formation de la fonction 
de compression f. 

Pour signer un message, le detenteur de I 'accreditation 
B de profondeur p commence par tirer au hasard un element r dans 
I'anneau puis calcule la puissance publique de I'eiement r(r P mod 
N). Puis il produit un exposant D grSce & la fonction de 
compression f appliqu£e a la concatenation du message m et de la 
puissance publique de I'eiement r. Le temoin t est le produit de 
I'eiement r par la puissance Dieme de ^accreditation B. Le 
message sign* est la concatenation de I'identite I, du message m, 
de I'exposant d et du temoin t. 

Pour verifier une signature, le verificateur calcule 
dans I'anneau le produit du temoin t 6 la puissance p par 
I'identite ombragee J (reconstruite & partir de IMdentite 
proclamee I) 4 la puissance D pour reconstituer ce qui doit §tre 
la puissance publique de I'eiement r. Enfin, le verificateur doit 
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retrouver l f exposant D en appliquant la fonction f a la 
concatenation du message m et de la puissance publique 
reconstitute. 

C'est ce qui est illustre sur la figure 9. 

5 Si p s f 6crit sur 64 bits quelconques, le signataire 

fait environ 192 multiplications dans L'anneau (il doit calculer 
successivement deux puissances avec des exposants de 64 bits sans 
pouvoir les combiner) pour mener d bien ^operation. Cette 
complexity est dejS nettement inftrieure a celle du procede RSA : 

10 768 multiplications en moyenne pour une exponentielle modulo un 
nombre compost sur 512 bits, et 1536 pour un nombre compost sur 
1024 bits. 

Si p s'tcrit sur 64 bits quelconques, le vtrificateur 
fait seulement environ 112 multiplications, car il combine ses 
15 operations en 64 carrts et trois fois 16 multiplications en 
moyenne, pour calculer d'un seul coup t P .J D mod N. II est heureux 
que I'authentification soit plus simple que I'tlaboration de La 
signature, car chaque signature est appelee d §tre vtrifite 
plusieurs fois. 

64 

20 Mais, on peut choisir 2 (c'est-a-dire une puissance 

de 2) comme exposant p pour simplifier les calculs, sans modifier 
la securite du systtme. L'eltvation k la puissance p se fait 
alors par 64 carrts. L'exposant D est un nombre de 64 bits. La 
signature se fait alors en 160 multiplications. La verification 

25 d'une signature se traduit en moyenne par 96 multiplications dans 
I'anneau, soit 12,5% da RSA a 512 bits et 6,2% du RSA £ 1024 
bits. 

Dans le proctdt anttrieur FS dtcrit plus haut, avec 64 
accreditations multiples dans la m§me carte, il faut un carrt et 

30 une moyenne de 32 multiplications. Ainsi, la mtthode de 
I'invention k accreditation profonde, se paye par un surplus de 
calculs d'un facteur multiplicatif de I'ordre de 3. Quand, dans 
I'art anttrieur, on se limite a 8 accreditations dans la carte, 
avec 8 temoins dans la signature, (8 iterations a 5 

35 multiplications / soit 40 multiplications), le rapport diminue 
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encore un peu, en faveur de l 1 invention. 

Bien entendu, on peut eussi choisir 2* 4 +1 comtne 

exposant public (c'est-a-dire un nombre impair). Au prix d'une 

seule multiplication supplemental" re pour calculer une puissance 
5 publique,. on l*ve ainsi certaines restrictions relatives aux 

residus quadratiques dans l f anneau (lorsque l f exposant p est 

pair, plusieurs elements de Panneau pouvant correspondre & la 

racine pieme, mans un seul convenant). 

La figure 10 reprdsente schematiquement un calculateur 
10 permettant de mettre en oeuvre ^invention. 

Le calculateur represente comprend une interface 

entrees-sorties ES, une unite centrale UC, une memoire 

programmable du type 6 lecture seulement (PROM), une memoire k 

lecture seulement (ROM) et une memoire a eccfcs direct (RAM). Le 
15 calculateur comprend encore un organe G du type g£n6rateur de 

bruit ou g£n£rateur aUatoire. 

L'accreditation et les informations d'identite 

inscrites dans la memoire PROM sont inaccessibles de Pexterieur. 

Les programmes sont inscrits dans la memoire ROM. La memoire RAM 
20 sert £ stocker des resultats de catcul. Le generateur G est 

utilise pour les ti rages au sort des divers nombres intervenant 

dans le proc£d6 (r, D). 

L f unite centrale et les memoires peuvent §tre 

structurees comme le mi crocalculateur autoprogrammable 
25 monolithique decrit dans le brevet 4,382,279 des Etats-Unis 

d* Amerique. 

La fonction de compression peut faire appel a 
l f algorithme DES (Data Encryption Standard). II existe une carte 
a puce, fabriquee par PHILIPS qui realise cet algorithme DES. 
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REVINDICATIONS 
1. Procede d'authentification d'une accreditation a 
apport nut de connaissance, 

a) cette accreditation ayant ete eiaboree par un procede du type 
a cie publique comprenant les operations suivantes : 

- une autorite habiLitee a deiivrer des accreditations 
choisit deux nombres premiers, forme le produit (N) de ces 
deux nombres, tient secrets ces nombres, choisit un entier p 
et publie N et p; 

- pour chaque detenteur d'une accreditation, une 
identite numerique I est constituee, puis compietee par 
redondance pour former un mot J appeie identite ombragee, 

- une accreditation A est eiaboree par I'autorite en 
prenant la racine pieme de I'identite ombragee dans I'anneau 
des entiers modulo N (A * J 1/p mod N), 

- dans un support approprie contenant une memoire, 
I'autorite charge I'inverse modulo N de ^accreditation A soit 
un nombre B appeie accreditation inverse (B R J mod N=1), ce 
nombre B constituant . ^accreditation qu'il s'agit 
d'authentif ier, 

b) I'authentification de ['accreditation ainsi eiaboree, 
consistant en un processus numerique interactif et 
probabiliste du type a apport nul de connaissance et 
s'etablissant entre un support contenant une accreditation, 
support appeie "le verifie" et un organe d'authentif ication 
appeie "le verif icateur", ce processus comprenant au moins un 
traitement numerique constitue par les operations connues 
suivantes : 

- le verifie tire d'abord au hasard un entier r 
appartenant a I'anneau des entiers modulo N, 

le verifie eieve cet entier r a la puissance p modulo 
N, le resultat etant appeie titre T, 

- le verifie deiivre alors au moins une partie des bits 
du titre T, 
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- Le verificateur tire ensuite au hasard un nombre (d> 
et demande au verifie d'effectuer certaines operations sur r 
et sur ^accreditation inverse B, ces operations etant liees 
au nombre (d) tire au hasard par le verificateur et effectuees 
dans I'anneau des entiers modulo N, 

- le verifie deiivre au verificateur un nombre t, 
appeie temoin, resultat de ces operations, 

- le verificateur effectue & son tour des operations 
portant sur le temoin t deiivre par le verifie et sur 
I'identite ombragee J du verifie, operations liees elles aussi 
au nombre d tire au hasard par le verificateur et effectuees 
dans l f anneau des entiers modulo N, 

- le verificateur compare le resultat ainsi obtenu " 
avec les bits du titre T que le verifie a deiivre en debut de 
processus de verification, et admet I'authenticite de 
^accreditation s'il retrouve ces bits, 

ce procede etant caracterise par Le fait que : 

a) lors de I'eiaboration de ^accreditation (B) le nombre p 
servant h extraire la racine p ifcme de I'identite ombragee (J) 
est choisi grand et comprend au moins une dizaine de bits, 

b) pour I'authentification de ^accreditation le processus ne 
comprend qu'un seul traitement interactif et probabiliste (et 
non une repetition d'un tel traitement), ce traitement unique 
consistant dans les operations suivantes : 

- le nombre que le verificateur tire au hasard est un 
entier D compris entre 0 et p-1 (bornes incluses), 

- I "operation que le verifie effectue pour deiivrer un 
temoin t est le produit, dans l f anneau des entiers modulo N, 
de I'eiement r qu'il a lui m§me tire au hasard, par la 
puissance Dieme de ^accreditation inverse B, le titre etant 
alors t=r.B mod N, 

- les operations qu f effectue le verificateur sont le 

produit, dans I'anneau des entiers modulo N, de la puissance p 

ifeme du temoin t par la puissance D idme de IMdentite 
P D 

ombragee J, soit t J mod N, 
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- I'operation de comparaison effective par le 
verificateur porte alors sur les bits du titre T deiivres par 
le verifie et sur les bits obtenus par ^operation precedente, 
^authenticity de ^accreditation etant acquise en un seul 
traitement d£s lors que tous les bits du titre deiivre par le 
verifie sont retrouves par le verificateur dans t P J D nod N. 

2. Procede d'authentification d'un message, ce message 
provenant d'un donneur d'ordre cense *tre accredite : 

a) ^accreditation d'un donneur d'ordre consistant en un mot 
numerique B obtenu par un procede a cie publique comprenant 
les operations suivantes : 

- une autorite habilitee a deiivrer des accreditations 
choisit deux nombre premiers, forme le produit N de ces deux 
nombres, tient secrets ces deux nombres, choisit un entier p 
et publie N et p, 

- pour chaque donneur d'ordre une identite numerique I 
est constituee puis compietee par redondance pour former un 
mot J appeie identite ombragee, 

- une accreditation A est eiaboree par I'autorite en 
prenant la racine p ieme de I'identite ombragee J dans 
I'anneau des entiers modulo N, (A = J 1/P mod N), 

- dans un support approprie detenu par le donneur 
d'ordre I'autorite charge I'inverse modulo N de 
I 'accreditation A, soit un nombre B appeie accreditation 
inverse (B J mod N=1), 

b) I 'authentication d'un message <m) emis par un donneur 
d'ordre ainsi accredite consistant en un processus numerique 
interactif et probabiliste du type a apport nul de 
connaissance et s'etablissant entre le support du donneur 
d'ordre cense accredite et appeie "le verifie" et un organe de 
verification appeie "le verif icateur", ce processus comprenant 
au moins un traitement numerique constitue par les operations 
suivantes : 

- le verif ie tire d'abord au hasard un entier r 
appartenant a I'anneau des entiers modulo N, 
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- te verifie eifcve cet entier r ft La puissance p modulo 
N et calcule un resultat par une fonction de compression en 
prenant comme argument le message m et r P mod N, soit f Cm, r P 
mod N), le resultat etant appeie titre T, 

5 - le verifie deiivre alors au moins une partie des bits 

de titre T, 

- le verificateur tire ensuite au hasard un nombre d et 
demande au verifie d'effectuer certaines operations sur r et 
sur ^accreditation inverse B, ces operations etant liees au 

10 nombre d tire au hasard par le verificateur et etant 

effectuees dans I'anneau des entiers modulo N, 

- le verifie fournit au verificateur un nombre t, 
appeie temoin, resultat de ces operations, 

- le verificateur effectue h son tour des operations 

15 portant sur le temoin t deiivre par le verifie et sur 

I'identite ombragee J du verifie, operations liees elles aussi 
au nombre D tire au hasard par Le verificateur et effectuees 
dans l f anneau des entiers modulo N, 

- le verificateur forme une fonction de compression en 
2 q prenant comme arguments le message d authentifier m et le 

resultat des operations precedentes, soit f(m, t / J), 

- le verificateur compare la fonction de compression 
obtenue avec Le titre T que le verifie a deiivre en debut de 
processus de verification, 

25 ce processus etant caracterise par le fait que : 

a) lors de I'eiaboration de ^accreditation du donneur d'ordre, 
le nombre p servant & extraire la racine p ieme de I'identite 
ombragee est choisi grand et comprend au moins une dizaine de 
bits, 

3Q b) pour I'authentification du message, le processus ne comprend 
qu'un seul traitement interactif et probabiliste (et non une 
repetition d'un tel traitement), ce traitement unique 
consistent dans les operations suivantes : 

- le nombre que le verificateur tire au hasard est un 
35 entier D compris entre 0 et p-1 (bornes incluses), 
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• ^operation que le verifie effectue pour deiivrer Le 
temoin t est le produit, dans l f anneau des entiers modulo N, 
de l f element r qu'il a lui m§me tire, par la puissance Dieme 
de ^accreditation inverse B, le temoin etant alors r.B D mod 
N, 

- les operations qu'effectue le verificateur sont le 
produit / dans I'anneau des entiers modulo H, de la puissance p 
Ume du temoin t, par la puissance D ieme de IMdentite 
ombragee J, 

- le verificateur forme la fonction de compression du 
message et du resultat des operations precedentes soit f Cm, t P 
J mod N) r 

- la comparaison que le verificateur effectue porte 
alors sur la fonction de compression qu'il a obtenue et sur le 
titre T que le verifie lui a delivre en debut de processus de 
verification, I'authenticite du message etant acquise en un 
seul traitement des lors que, & la fin de ce traitement, il y 
a correspondence entre tous les bits de la fonction de 
compression obtenue par le verificateur et les bits du titre 
deiivres par le verifie. 

3. Procede de signature d'un message par une entite, 
cette entite etant censee etre accreditee, 

a) ^accreditation d'une entite signataire de messages ayant ete 
eiaboree par un procede h cie publique comprenant les 
operations suivantes : 

- une autorite habilitee a deiivrer des accreditations 
choi sit deux nombres premiers, forme le produit N de ces deux 
nombres, tient secrets les deux nombres premiers, choisit un 
entier p et publie N et p, 

- pour chaque entite signataire une identite numerique 
I est constituee puis compietee par redondance pour former un 
mot J appeie identite ombragee, 

- une accreditation A est eiaboree par I'autorite en 
prenant la racine p ieme de I 'identite ombragee J dans 
I'anneau des entiers modulo N (A - J Vp mod N), 
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- dans un support approprie detenu par Le signataire 
I'eutorite charge IMnverse modulo N de ^accreditation A, 
soit un nombre B appeie accreditation inverse <B P J nod N=1>, 

b) La signature d'un message m par un signataire d'identite I 
consistent en un traitement numerique probabiliste comprenant 
tes operations suivantes : 

- te signataire tire au hasard au moins un entier r 
appartenant a l f anneau des entiers modulo N, 

- le signataire eieve cet entier r a La puissance p 
modulo N, 

- le signataire calcule une fonction de compression f 
en prenant comme arguments le message m a signer et la 
puissance r P obtenue, 

- le signataire forme au moins un temoin t en 
effectuant certaines operations sur r et sur ^accreditation 
inverse B, ces operations etant liees au nombre d tire au 
hasard et etant effectuees dans I'anneau des entiers module* N, 

- le signataire transmet le message m / son identite I, 
le mot d, le ou Les temoins t, I'ensemble constituant un message 
signe, 

ce procede etant caracterise par le fait que : 

a) Lors de I'eiaboraton de ^accreditation du signataire le 
nombre p servant a extraire la racine p ieme de I'identite 
ombragee est choisi grand et comprend plusieurs dizaines de 
bits, 

b) pour I'operation de signature du message : 

- le signataire ne tire au hasard qu*un seul entier r 
appartenant a I'anneau des entiers modulo N, 

- la fonction de compression a pour arguments le 
message m et la puissance p ieme de r, ce qui fournit un 
nombre t>, 

- le temoin unique produit par le signataire est Le 
produit, dans I'anneau des entiers modulo N, de Rentier r par 
la puissance D ieme de I'accreditation inverse B, 

- le signataire fournit, avec le message m, son 
identite I, le hot D et le temoin t. 
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